Cyber-Ark's Patented Digital Vault™
El Reto
Hoy en día, multitud de compañías derrochan millones de euros en soliciones de seguridad perimetral tradicionales con efectos limitados. Las brechas de seguridad y su impacto financiero continua incrementando. Estadísticamente, más del 70% de todas esas brechas en la red son de origen interno. En lugar de intentar proteger cada frente de la red corporativa, las soluciones de Vaulting Digital de Cyber-Ark crean areas seguras o refugios para almacenar, proteger y compartir la información de negocio más crítica. Las soluciones de Cyber-Ark proporcionan todo lo necesario para proteger y compartir su información a través de las organizaciones.
La Solución
El enfoque de Cyber-Ark es muy similar a una cámara acorazada en un banco. Creamos una cámara acorazada electrónica o refugio en la red. Independientemente del resto de la red o de la seguridad que pueda existir, este refugio se mantiene extremadamente protegido. A la misma vez, el enfoque único de Cyber-Ark permite que esta información sea absolutamente accesible, eliminando la tradicional incompatibilidad entre accesibilidad y seguridad.
 |
Además, el Vault proporciona múltiples capas de seguridad tradicional y ya conocidas, como son conexiones VPN, control de acceso a archivos, cifrado, autenticación y cortafuegos. Cyber-Ark también proporciona seguridad Visual, Manual (Dual Control) y Geográfica que rodea las otras capas de seguridad. Cada capa se integra completamente con las otras y conoce su funcionamiento. Las capas de seguridad, por diseño, nunca interactuarán con otros sistemas, incrementando la seguridad del Vault.
Esta implementación patentada no requiere una gestión aparte, y por ello no causa problemas de integración. Algunas características se listan a continuación:
- Cortafuegos y aislamiento de codigo: El Vault reside en un equipo dedicado, en el que será el único software instalado. El cortafuegos del Vault solo permite el tráfico del protocolo del Vault de entrada o salida de ese equipo. Esta es la única manera en que el Vault puede asegurar su control total sobre la información que almacena. No se pueden manipular lo datos que residen en el Vault, asegurando que no puedan permitirse una brecha de seguridad. La técnica de aislamiento de código/datos crea un entono estéril sobre el cuál se construyen las otras capas de seguridad.
- Autenticación: Cada conexión al Digital Vault™ debe ser autenticada. Utiliza un mecanismo de doble autenticación y puede llevarse a cabo mediante contraseñas, tokens RSA SecurID, RADIUS, tokens USB (p.ej, Aladdin) o certificados PKI.
- Control de Acceso: Una vez los usuarios se autentican correctamente, están sujetos a los mecanismos de control de acceso del Digital Vault™. El Digital Vault está segmentado en Safes (o carpetas de seguridad), donde los usuarios solo pueden ver las safes para las que tienen permiso de acceso. Los usuarios pueden tener distintos privilegios sobre cada Safe (auditar, leer, escribir, controlar,etc).
- VPN y Cifrado de Datos: Como parte del proceso de autenticación, el Digital Vault crea una sesión cifrada en la que cada transacción de usuario y cada respuesta del servidor está cifrada. Los archivos son cifrados cuando se almacenan en el Digital Vault y cuando están siendo transmitidos usando sistemas de cifrado simétrico con gestión de claves interna. Cuando un archivo se almacena en el servidor Vault, se genera una única clave de cifrado. Este esquema de gestión de claves automático permite llevar a cabo el cifrado de los archivos de una manera completamente transparente hasta el usuario final y no requiere intervenciones administrativas relacionadas con las claves de cifrado.
- Inspección de Contenido: Los archivos que se ubican dentro del Digital Vault pueden ser despojados de cualquier código potencialmente malicioso, ya sea una macro de Microsoft Office, un script VB o un ejecutable. Esta visión garantiza que los archivos que se almacenan y comparten siempre se mantengan libres de virus o malware.
- Control de Versiones y Copias de Seguridad Seguras: Desde el momento en el que los datos se almacenan cifrados en el Digital Vault, sus copias de seguridad también se generan cifradas. Adicionalmente, cuando los archivos se ubican en el Digital Vault, siempre se generan nuevas versiones al editarlo, nunca se sobreescribe ninguna versión. Este mecanismo protege los datos frente una corrupción de la información, ya sea deliberada o inintencionada, así como mantiene un mecanismo de control de versiones qu epermite que los usuarios revisen o vuelvan a versiones anteriores.
- Seguridad Visual: Mediante la Seguridad Virtual los usuarios finales pueden recibir indicaciones visuales acerca de cuáles de sus datos en el Digital Vault han sido accedidos o actualizados. Los objetos en el Vault se marcan con señales azules, rokas o verdes, indicando si alguien ha accedido, actualizado o creado un nuevo archivo en el safe.
-
Seguridad Manual: La tecnología de Seguridad Manual permite controles que proporcionan un control absoluto sobre el acceso a los datos, incluyendo:
- Dual Control - Confirmación dual que se requerirá al abrir ciertas safes en el Vault, similar a los requisitos de dos llaves para abrir una caja fuerte en un banco. Cuando se intenta abrir dicho Safe, se manda una solicitud de autorización al supervisor del Safe. El Safe solo se abrirá cuando dicho acceso sea confirmado por el supervisor.
- Retrasos - Mecanismo que permiten retrasar la apertura del Safe durante un periodo de tiempo predefinido, permitiendo a los supervisores prevenir accesos no deseados a archivos específicos.
- Limitacions temporales - Se puede definir el acceso a un Safe en un determinado periodo de tiempo, como por ejemplo, en horario laboral.
- Seguridad Geográfica: El Digital Vault puede limitar el acceso a Safes a determinadas ubicaciones de red; de manera análoga, se puede permitir el log in a determinados usuarios sólo desde redes específicas. Por ejemplo, los informes de evaluación de seguridad tan solo pueden accederse desde un equipo específico y no desde el resto de la red.